大家好,我是阿萨。基于上次HTTP的认证,HTTP 常见认证方式 学习完这个内容,还有一个和认证息息相关的内容,那就是session 和cookie的管理。
今天我们就来学习下session 和cookie的管理过程。我们先拿小区门禁卡打个比方。
我们用门禁卡开门过程 简单演示下:
- 要在该小区入住了,需要先在小区物业登记下房间号和姓名,电话等(客户端发送了登录信息)。
- 物业系统后台统计了住户的房间号和姓名。确认是该小区业主,记录在小区业主管理系统里。(服务器发放session ID, 记录认证状态)。
- 物业给业主一个标识了该小区的门禁卡。(服务器给客户发送cookie)
- 业主使用门禁卡开门。(验证session ID)。
有了比方后,就好理解多了,接下来我们先看下详细过程:
1:客户端把用户 ID 和密码等登录信息放入ReRequest的Body部分,发送给服务器。使用Post 方法。HTTPS通信。
步骤 2:服务器会发放 Session ID。这个session ID 会标识用户身份。服务器验证了用户身份后,把用户的认证状态与Session ID 绑定后记录在服务器端。
然后向客户端返回响应时,会在Header 字段里 Set-Cookie 内写入 SessionID。
步骤 3:客户端接收到从服务器端发来的 Session ID 后,会将其作为Cookie 保存在本地。下次向服务器发送请求时,浏览器会自动发送Cookie,所以 Session ID 也随之发送到服务器。服务器端可通过验证接收到的 Session ID 识别用户和其认证状态。
这个就是session 和cookie 应用的最简单的实例了。
session 本身如果被盗用,客户信息就很危险,所以session 最后使用不容易被猜测的随机码。
因为用户的密码是整个认证的核心关键。所以推荐给密码加盐。
什么是加盐Salt呢?
加盐Salt 其实就是由服务器随机生成的一个字符串,但是要保证长度足够长,并且是真正随机生成的。然后把它和密码字符串相连接(前后都可以)生成散列值。
以上就是今天的所有内容。 你学会了吗?
如果觉得阿萨的内容对你有帮助,欢迎围观点赞。
